OpenSSF-ek (Open Source Security Foundation) Alpha-Omega proiektua aurkeztu zuen, kode irekiko softwarearen segurtasuna hobetzera zuzenduta. Proiektua garatzeko hasierako inbertsioak 5 milioi dolarreko eta ekimena abiarazteko langileak Googlek eta Microsoft-ek emango dituzte. Beste erakunde batzuk ere parte hartzera animatzen dira, bai ingeniaritza talentuaren eskaintzaren bidez, bai finantzaketa mailan, eta horrek ekimenak landuko dituen kode irekiko proiektuen kopurua zabaltzen lagunduko du. Gainera, joan den urte amaieran, 10 milioi dolar bideratu ziren OpenSSF Fundazioaren lanerako; ez dago zehazten funts horiek Alpha-Omega ekimenerako erabiliko diren.
Alpha-Omega proiektuak bi osagai ditu:
- Alpha-ren zati batek kode irekiko 200 proiekturen eskuzko segurtasun-ikuskaritza egitea dakar, ezagunenak mendekotasun edo azpiegitura-elementu moduan erabiltzeko. Lanak mantentzaileekin elkarlanean egingo dira eta kodearen azterketa sistematikoa egingo da, ahultasun berriak identifikatzeko eta horiek azkar konpontzeko.
- Omegaren zati bat kode irekiko 10 mila proiektu ezagunenen proba automatizatuak egitera bideratzen da. Ingeniari talde bereizi bat sortuko da probak egiteko, erabilitako metodoak hobetzeko, proben emaitzak aztertzeko, proiektuen garatzaileei informazioa helarazteko eta lankidetza koordinatzeko arazo larriak konpontzeko. Talde honen zeregin nagusia positibo faltsuak baztertzea eta benetako ahuleziak identifikatzea izango da txosten automatizatuetan.
Alfa fasean eskuzko auditoria baten beharra proba automatizatuetan identifikatzeko arazoak diren ezkutuko arazoak identifikatzeko beharrari dagokio. Horrelako arazoen adibide gisa, Log4j-en azken ahultasun kritikoak aipatzen dira, enpresa handi askoren azpiegiturak arriskuan jarri zituztenak. Ikuskaritza egiteko proiektuak adituen komunitatearen gomendioak eta aurretik sortutako Puntuazio Kritikoa eta Errolda balorazioetako datuak kontuan hartuta aukeratuko dira.
Oroigarri gisa, OpenSSF Linux Fundazioaren babespean sortu zen eta ahultasunen dibulgazio koordinatua, adabaki banaketa, segurtasun tresnaren garapena, garapen segururako praktika onenak argitaratzea, segurtasunarekin erlazionatutako mehatxuak irekita identifikatzea bezalako arloetan lan egiten du. Softwarea, kode irekiko proiektu kritikoen auditoria eta segurtasuna indartzeko lanak eginez, garatzaileen identitatea egiaztatzeko tresnak sortuz. OpenSSFek Core Infrastructure Initiative eta Open Source Security Coalition bezalako ekimenak garatzen jarraitzen du, eta proiektuarekin bat egin duten enpresek segurtasunarekin lotutako beste lan batzuk ere integratzen ditu. OpenSSF-en enpresa sortzaileen artean daude Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk eta VMware.
Iturria: opennet.ru